PCI DSS

PCI DSSに準拠する必要があるのは誰ですか?

PCI データ セキュリティ標準 (PCI DSS) の目標は、カード所有者データ (CHD) と機密認証データ (SAD) が処理、保存、または送信される場所を問わず保護することです。支払いのセキュリティを維持することは、カード会員データを保存、処理、または送信するすべての組織に必要です。

PCIセキュリティ標準には、次の技術的および運用要件が含まれています。

• 支払トランザクションを受け入れる、または処理する組織
• これらの取引で使用されるアプリケーションおよびデバイスのソフトウェア開発者およびメーカー

2018年5月にリリースされたPCI 3.2.1は、対象となる組織が遵守しなければならない現在のバージョンです。

コンプライアンスの検証は、年間処理されるクレジット カード取引量の関数である、組織の加盟店レベルの指定に適した方法によって、年次または四半期ごとに実行されます。

PCI加盟店レベルと監査および報告要件の概要

以下の表は、PCI加盟店レベルの概要、各レベルで通常使用される一般的な支払いアーキテクチャ、および対応するPCI監査およびレポート要件を示しています。注:クレジットカード会社によって加盟店レベルのベンチマークには微妙な違いがあるため、読者はPCIアドバイザリーおよびQSAパートナーに相談して、組織に適用される要件を正確に評価することをお勧めします。 

12 PCI DSSの要件

PCI DSS 3.2.1 には、6 つの目標、12 の要件、78 の基本要件、および 400 を超えるテスト手順が含まれています。以下の表は、PCI DSS の目標と関連要件をまとめたものです。サブ要件とテストの詳細については、 PCI DSS リファレンス ガイドを参照してください。

PCI不準拠による潜在的なリスク

PCI DSS が導入されてから 12 年以上経ちますが、多くの組織は監査中に重大な不利な発見に直面し続けています。いくつかの組織は、最近 PCI 監査に合格した後も、データ侵害を経験したと報告し続けています。ここで重要なのは、コンプライアンスは必ずしもデータとアプリケーションが安全であることを意味するわけではないということです。コンプライアンスはベースラインとして捉えるべきであり、組織はコンプライアンス義務によって必ずしもカバーされていない脅威ベクトルを特定し、軽減することにも重点を置く必要があります。

最も一般的なPCI コンプライアンスの課題は次のとおりです。

1. PCI 監査の範囲を管理し、コストを制御する必要があります。PCI セキュリティ カウンシルは、スコープ設定とネットワーク セグメンテーションに関するガイドを公開しました。このドキュメントは、対象となる組織が CDE (カード所有者データ環境) コンポーネント、PCI 接続および PCI セキュリティに影響するシステム、および範囲外のコンポーネントを識別するのに役立つフレームワークを提供します。残念ながら、データ センター環境と支払いアーキテクチャの性質がますます動的かつ複雑になっているため、スコープ設定とセグメント化のフレームワークを実行することは多くの組織にとって困難です。PCI コンポーネント インベントリを作成および維持するために静的なポイントインタイム データとネットワーク フロー マップに依存し、一貫性のない IT 変更およびファイアウォール変更管理プラクティスと組み合わせると、スコープ設定とセグメンテーションのエラーが発生し、PCI 評価の失敗と監査コストの増加につながります。
2. PCI セキュリティ コンプライアンスとセグメンテーションの姿勢を継続的に維持できない。PCI セキュリティ標準では、組織は PCI セグメンテーションの姿勢を継続的に維持し、PCI 要件と基本要件に継続的に準拠していることを確認する必要があります。動的かつ複雑なデータ センターと支払いアーキテクチャに、セキュリティ プロセスと IT 運用の不整合が加わると、セキュリティと制御のギャップが生じます。IT プラクティスの結果として、PCI コンポーネントは、CDE へのトラフィックを制限するための追加の制御が行われないまま、同じゾーン、VLAN、またはサブネット内で非 PCI コンポーネントと混在してしまうことがよくあります。場合によっては、IT 変更管理、リソース プロビジョニング、およびファイアウォール変更管理プロセス間の切断により、対象範囲内の PCI 接続システムのインベントリが不正確になったり、ファイアウォール ルールの構成が誤っていたりすることがあります。脆弱性管理とパッチ管理のプロセスが不十分だと、組織は PCI セキュリティ体制を継続的に維持できなくなります。Verizon 決済セキュリティ レポートでは、決済セキュリティの傾向と、組織が継続的に直面している重大なセキュリティ上の課題について詳細に説明しています。Verizon は 2010 年から毎年このレポートを発行しています。2020 年のレポートでは、次の PCI 要件に最も制御ギャップがあると結論付けています。
3. 要求11。セキュリティシステムとプロセスのテスト
4. 要求5。悪意のあるソフトウェアからの保護
5. 要求10。アクセスの追跡と監視
6. 要求12。セキュリティ管理
7. 要求8。アクセスの認証
8. 要求1.ファイアウォール構成のインストールと保守
9. フラットなネットワークを持つ。驚くべきことに、今日の多くの組織は、設計が簡単で、運用と保守が容易なフラットネットワークを引き続き使用しています。ただし、フラットネットワークとは、環境内のすべてのもの(PCI接続されていないコンポーネントやCDE以外のコンポーネントを含む)がPCIの範囲内にあることを意味し、PCI監査コストが高くなります。フラットネットワークとは、悪意のある攻撃者が単一のホストを侵害することに成功した場合、ネットワークを簡単に通過し、決済アプリケーションやカード所有者データベースにアクセスできることも意味します。
10. リモートワーク運用モデルへの移行を確実にする必要があります。組織がオールリモートワークの運用モデルに移行するにあたり、これらの変更がPCI環境の範囲にどのような影響を与えるか、またCDEへの正当なトラフィックを制御するためにどのような追加の制御を実装する必要があるかを評価する必要があります。例としては、従業員のラップトップから支払いアプリケーションへの許可された管理者の正当なリモートアクセスの保護、リモートのカスタマーサポートと請求の保護、インターネットに接続する非接触型キオスクとデータセンターアプリケーション間のオンサイトの非接触型接続の保護などがあります。

PCI Data Security Standardの一般的な実装上の課題は何ですか?

ワークロード、ユーザー、デバイス、およびその接続とフローをリアルタイムで可視化することは、次の場合に重要です。

• PCI 環境の範囲が最新かつ正確であることを確認し、セグメンテーションとファイアウォールのルールが正しく適用されていることを意味します。
• 義務付けられた四半期ごとの内部脆弱性スキャンに貴重な情報を提供し、この情報を使用して、脆弱性に関連する潜在的な横方向攻撃経路をマッピングします。
• 潜在的な攻撃の兆候となる可能性のあるワークロード、デバイス、ユーザー、接続の変更、および接続試行の失敗がないか、PCI 環境を継続的に監視します。
• PCIコンプライアンス要件で必ずしもカバーされていない攻撃対象領域と脅威ベクトルの変化を特定します。

効果的なPCI DSSコンプライアンスにおけるリアルタイムの可視性の重要性

• リアルタイムの可視性は、PCIのスコープ内にあるCDE、PCI接続、およびPCIセキュリティに影響を与えるシステムのすべての接続を継続的に監視することにより、PCIスコープの精度を確保するのに役立ちます。その後、組織はホストベースのマイクロセグメンテーションを適用して、適用可能なファイアウォールルールを適用して、PCI環境へのインバウンドおよびアウトバウンドトラフィックを「許可」または「正当な」トラフィックのみに制限できます。(要件1)
• PCI環境の効果的かつ正確なセグメンテーションを継続的に維持することで、PCI監査コストを管理できます。
• 誤って設定されたファイアウォールルールや古いファイアウォールルールを排除することで、対象となる組織が潜在的なデータ侵害にさらされる可能性が軽減されます。
• IT 自動化ツール (Chef、Puppet、Ansible、Terraform など) との統合を利用して、ワークロード リソースのプロビジョニングと本番環境へのリリースと同時に、セグメンテーション ポリシーが確実にプロビジョニングされるようにします。
• リアルタイムの可視性は、組織がリモートワークに移行する際のPCIスコープの変更を評価するのに役立ちます。これは、組織が重大な制御ギャップと潜在的な攻撃ベクトルを特定するのに役立ちます。その後、組織はホストベースのマイクロセグメンテーションを適用して、自宅のデバイスからリモートユーザーのラップトップへのピアツーピア接続を制限し、ユーザーからデータセンターへのアプリケーション接続を制御できます。
• 複数のVLAN、ゾーン、サブネットに分散している承認されたPCIワークロード、ユーザー、デバイス間の接続を制御し、ネットワーク環境を再設計することなく、IT運用の変更に対応します。
• クラウドネイティブおよびグリーンフィールド環境では、組織はコンテナオーケストレーションプラットフォームとの統合を利用して、ワークロードの誕生時に「セグメンテーションポリシー」をプロビジョニングできます。
• 組織は、PCI コンプライアンス要件を直接満たすだけでなく、マイクロセグメンテーションを適用して攻撃対象領域を縮小し、横方向の移動を阻止し、 ランサムウェアの急速な拡散を阻止することができます。

ホストベースのマイクロセグメンテーションを使用してPCIコンプライアンスとサイバーセキュリティの課題に対処する

• リアルタイムの可視性により、PCI の範囲内にある CDE、PCI 接続システム、および PCI セキュリティに影響するシステムのすべての接続を継続的に監視することで、PCI スコープの正確性を確保できます。組織は、ホストベースのマイクロセグメンテーションを適用して、適用可能なファイアウォール ルールを強制し、PCI 環境への受信トラフィックと送信トラフィックを「許可」または「正当な」トラフィックのみに制限することができます。（要件1）
• PCI環境の効果的かつ正確なセグメンテーションを継続的に維持することで、PCI監査コストを管理できます。
• 誤って設定されたファイアウォールルールや古いファイアウォールルールを排除することで、対象となる組織が潜在的なデータ侵害にさらされる可能性が軽減されます。
• IT 自動化ツール (Chef、Puppet、Ansible、Terraform など) との統合を利用して、ワークロード リソースのプロビジョニングと本番環境へのリリースと同時に、セグメンテーション ポリシーが確実にプロビジョニングされるようにします。
• リアルタイムの可視性は、組織がリモートワークに移行する際のPCIスコープの変更を評価するのに役立ちます。これは、組織が重大な制御ギャップと潜在的な攻撃ベクトルを特定するのに役立ちます。その後、組織はホストベースのマイクロセグメンテーションを適用して、自宅のデバイスからリモートユーザーのラップトップへのピアツーピア接続を制限し、ユーザーからデータセンターへのアプリケーション接続を制御できます。
• 複数のVLAN、ゾーン、サブネットに分散している承認されたPCIワークロード、ユーザー、デバイス間の接続を制御し、ネットワーク環境を再設計することなく、IT運用の変更に対応します。
• クラウドネイティブおよびグリーンフィールド環境では、組織はコンテナオーケストレーションプラットフォームとの統合を利用して、ワークロードの誕生時に「セグメンテーションポリシー」をプロビジョニングできます。
• 組織は、PCI コンプライアンス要件を直接満たすだけでなく、マイクロセグメンテーションを適用して攻撃対象領域を縮小し、横方向の移動を阻止し、 ランサムウェアの急速な拡散を阻止することができます。

詳しく見る

PCIに準拠し、顧客と会社を保護するための手順を今すぐ実行してください。

マイクロセグメンテーションがPCI DSSの範囲を縮小し、コンプライアンスを達成するのにどのように役立つかについては、ホワイトペーパー「PCIコンプライアンスを効果的にセグメント化するための3つのステップ」をご覧ください。